Open in app

Sign in

Write

Sign in

AWSセキュリティインシデント疑似体験 調査ワークショップに参加しました

Kensuke Takahashi
MICIN Developers
Published in
May 18, 2023

MICINの情報セキュリティ部の高橋です。2023年5月12日に参加したAWS主催の「セキュリティインシデント疑似体験 調査ワークショップ」について、レポートをお届けします。

ワークショップの概要

「セキュリティインシデントが発生したら何をすべきか、インシデント調査をどうしたら良いか、悩んだことはありませんか?」をテーマとし、AWS環境上に作成された典型的なセキュリティインシデントを再現させたログを、チーム対抗のクイズ形式で調査するというものです。ログ調査にはAWSのログ検索・分析ツールである「Amazon OpenSearch Service」が利用されました。

ワークショップの内容と流れ

ワークショップはオンラインで開催され、約190人の参加者が合計70チームに分かれて参加しました。募集定員の150名を超える参加人数となっていて、AWSのインシデント調査への関心の高さが伺えました。

最初の30分間で簡単な事前説明が行われ、その後、各チームに分かれて2時間の調査演習を行いました。演習はクイズ形式となっており、リアルタイムで順位が表示されるようになっていました。

問題はレベルが0から2の3段階に分かれており、レベル0の問題ではAWSに関する雑学クイズ問題や、SIEM(OpenSearch)の基礎的な使い方に関する問題が出題されました。一方、レベル1と2の問題では、インシデントの痕跡が残るログを調査し、回答する問題が出題されました。

演習後は約1時間半にわたって、非常に丁寧に解説が行われました。演習が楽しいだけでなく、解説がしっかりと行われるため、復習にも役立ちます。また、演習環境は翌日まで利用することができ、解説を聞いた後はさらに実際に手を動かして復習することができました。

スコアサイトの画面。クイズ形式で楽しめるようになっています

参加の目的と期待

AWSの担当営業さんから本イベントをご紹介いただき、インシデント対処の実効性の向上に繋がるだけでなく、情報セキュリティ部のチームビルディングの一環としても役立つと考え、参加を即決しました。

MICINでもAmazon OpenSearch Serviceを使用してAWSのログ管理を行っていますが、実際の外部からの攻撃によるインシデントがそうそう発生することはなく、実際のログを使用した訓練を行うことが難しいという課題がありました。そのため、実際にインシデント発生時の対応手順を把握できる機会は非常にありがたいものでした。

情報セキュリティ部のメンバー4名でチーム(MiSTERZ)を組み、調査に臨みました。全メンバーがAWSやログ調査に関して一定の知識を持っていたため、大問ごとで大まかに役割を分担し、解答に取り組みました。

インシデント調査演習の内容と結果

問題のネタバレ禁止とのことで詳細は伏せますが、AWS環境で発生する典型的なインシデントが題材として用意されており、調査に使用するOpenSearchにはGuard DutyやSecurity Hubなどのセキュリティに関するログ、VPCフローログ、EC2インスタンスで稼働しているサービスのログなどが保全されています。必要なログを抽出したり、不要なログを除外したり、送信元IPアドレスやアクセスキーなどに着目しながら相関分析を行ったりすることで、調査を実施しました。

ログ調査に使用したOpenSearchの画面

調査演習の結果、70チーム中、14位とそれなりの成績を収めることができました。

最終スコア表

MICINではAWSのモニタリング環境を下図のように整備しており、普段から各セキュリティツールやOpenSearchを扱う機会があったため、今回このような成績を収めることができたと考えています。

MICINにおけるAWSのモニタリング環境

インシデント調査演習からの学び

演習後の解説を通じて、AWS環境で発生するインシデントの典型的な調査手法を学ぶことができました。実際のGuard DutyやSecurity Hubの検知ログを確認することで、セキュリティツールを活用する有効性を再認識し、自社環境でもインシデントが発生した場合には、検知と調査ができるように手順を整備する必要性を感じました。MICINで継続的に実施しているゲームデー(インシデント対応訓練)でも、今回の学びを活かしていきたいと思います。

また、ワークショップを通じて、参加メンバーからOpenSearchをより有効活用したいという意見が 出されました。現状では収集していないサービスのログを収集するかどうか、改めて検討するきっかけとなりました。

まとめ

本ワークショップでは、クイズ形式で他のチームと競いながら問題に取り組むことで、楽しみながら学ぶことができました。また、解説を聞いた後に、解けなかった問題に再チャレンジし、最後の1問を除いては解くことができ、レベルアップを実感することができました。

個々のログを単独で見ているだけでは、インシデントの全体像を描くことは経験がないと難しいですが、実環境で実際のインシデントのログを調査できることは貴重な経験であり、大変勉強になりました。MICINでは安心して利用できるサービスを提供できるよう、今後もセキュリティ技術に関する研鑽を継続していきます。

ワークショップ終了後のスコア表。解説を聞き、最後の1問以外は解くことができました!
Security

--

--

Kensuke Takahashi
MICIN Developers

Written by Kensuke Takahashi

2 Followers
Editor for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams